教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
[さらに気になる]JSONの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=
![[さらに気になる]JSONの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
IE 6で泣かないための、9つのCSSハック (1/3) - @IT
有限会社タグパンダ 喜安 亮介 2009/10/8 Webブラウザごとのレンダリングエンジンの違いにより起こるレイアウトの表示ずれ問題に泣かされるWebデザイナのために、Webブラウザごとに使えるかどうかの表を交えながら問題を解決するためのCSSハック&フィルタTipsをお届けします(編集部) 最も多く使われているのに……、いや、だからこそ 多くのWebデザイナの悩みの1つは、レイアウトの表示ずれ問題だと思います。これは、各Webブラウザが採用しているレンダリングエンジンの違いから起因している場合が多いです。その中でも、最もWebデザイナ泣かせのWebブラウザなのは、マイクロソフトが開発しているIE(Internet Explore)のバージョン6です。 IE 6は、発売開始当初のWindows XPにデフォルトでインストールされていたWebブラウザということもあり、世の中の多くのユーザー
Scratchプログラミングの二歩目、自由な動きを付ける(1/2) - @IT
鳥人間 郷田まり子 2009/10/7 キーボードやマウスなどによるユーザーの動作に反応してみたり、さらには変数を使用して、プログラミングの自由度を上げていこう 前回「非プログラマのためのプログラミング講座」は、グラフィカルなプログラミング環境「Scratch」をインストールし、プログラミングの第一歩を体験し、さらに、繰り返し処理を行うための制御ブロックを使用してみたところです。 今回は、キーボードやマウスなどによるユーザーの動作に反応してみたり、さらには変数を使用してデータをスマートに扱ったりしながら、プログラミングの自由度を格段に上げていきます。 キーボード・マウス処理でインタラクティブに ユーザーの入力に対して相応の処理を行うことで、対話的(インタラクティブ)なプログラムを作ることができます。scratch では、「キーが押された」「マウスのボタンが押された」「スプライトがクリックさ
ファイル名は「左から右に読む」とは限らない?!
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
無償仮想化ソフトVMware ESXiを30分以内で使う
無償仮想化ソフトVMware ESXiを30分以内で使う:超簡単! VMware ESXiを試してみよう(1/3 ページ) ヴイエムウェアのサーバ仮想化製品は、2009年春に「VMware vSphere 4」という新バージョンに進化した。この製品を支えているハイパーバイザがVMware ESX 4.0だ。本連載では、無償で提供されているVMware ESXi 4.0を気軽に体験するため、インストールと利用方法を紹介する。連載の後半では中小企業でも利用しやすい有償版のVMware vSphere Essentialsにも触れる VMware ESXiは、ヴイエムウェアが無償で提供しているハイパーバイザです。サーバ機のうえに直接インストールし、このうえでさまざまなOSを動かすことができます。稼働できるOSはゲストOSの互換性ガイド(http://www.vmware.com/pdf/Gues
全文検索を実装したソースコードを読もう (1/4)- @IT
第6回 全文検索を実装したソースコードを読もう 倉貫 義人 松村 章弘 TIS株式会社 SonicGarden 2009/9/3 優れたプログラマはコードを書くのと同じくらい、コードを読みこなせなくてはならない。優れたコードを読むことで、自身のスキルも上達するのだ(編集部) いよいよオープンソースの社内SNS「SKIP」を使ったコードリーディングも最終回となりました。Railsの基本的な構成から、テストコードやRSpecの書き方といった内容に加え、前回はOpenIDをRailsで活用する応用編まで、コードとともに学んできました。 最終回となる今回は、SKIPの目玉機能の1つである全文検索を扱います。最終回にふさわしく、内容も高度なものになっていますが、ここまでおつきあいいただいた読者の皆さまであれば、十分に理解できる内容だと思います。 SKIPにおける全文検索機能では、任意の検索キーワード
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
企業対応の無償ウイルス対策ソフトウェアを利用する - @IT
しかし使用頻度が低いコンピュータには、ウイルス対策ソフトウェアを導入する予算が確保できないこともある。 いまやウイルスなどの攻撃を回避するために、ウイルス対策ソフトウェアの導入は必須となっている。たとえインターネットに接続していなくても、社内のネットワークやUSBメモリを経由してウイルスなどが感染を広げる可能性もあるため、すべてのコンピュータにウイルス対策ソフトウェアをインストールしておいた方がよい。 しかし普段業務に利用しているコンピュータに比べて使用率が低い、例えば営業で用いるデモ用コンピュータなどに、ウイルス対策ソフトウェアを導入するのはライセンス料がもったいないと感じている管理者も多いのではないだろうか。とはいえ、ウイルス対策ソフトウェアを導入しない状態で利用し続けるリスクは回避したいはずだ。 そうしたコンピュータに対しては、無償で利用可能なAVG Technologiesの「AV
WDDM 1.1(Windows Display Driver Model 1.1)
Windows 7およびWindows Server 2008 R2向けの新しいディスプレイ・ドライバの仕様。従来のWindows Vista/Windows Server 2008向けディスプレイ・ドライバであるWDDM 1(WDDM v1)を改良したもの(Windows XP/Windows Server 2003向けのものはXPDMと呼ばれる。関連記事参照)。 WDDM 1.1をサポートしたドライバの例 これはNVIDIAのGeForce 8600M GS用のWDDM 1.1ドライバの例。dxdiagコマンドを実行すると、このように表示される。 (1)WDDM 1.1ドライバがインストールされていると、このように表示される。 WDDM 1.1の特徴としては次のようなものがある。 Direct3D 10/11サポート Direct2Dサポート ビデオ再生サポート(ビデオ・オーバーレイ、
タメになる? ダメになる? おばかハウツー(1/2) - @IT
デザインハック1周年記念 タメになる? ダメになる? おばかハウツー(1) 90秒でRSSアイコンを作る方法 川田十夢(cmrr_xxx) 2009/8/26 ゼロからのスタートに疲れた皆さんのためのフォトショップハウツーTipsです。おばかだけどちょっとだけタメになるハウツーをご紹介 ゼロからのスタートに疲れた皆さんのためのフォトショップハウツーのTipsです。例えるならば、冷蔵庫の余りモノを使って短時間でササっと一品作るみたいな、数種類のレトルトカレーを混ぜ合わせてプロ顔負けの味のカレーを作るみたいな、クジラって本当に捨てるところないよねみたいな、おばかだけどちょっとだけタメになるハウツーをご紹介いたします。フォトショップの最新機能は一切使っていないので、地球にも財布にもやさしい企画となっています。 90秒でRSSアイコンを作る方法 本記事は、都合により掲載を延期します。 [an er
Linux Kernel Watch 6月版 君は知っているか? 2.6.30の変更内容を(1/2) − @IT
6月版 君は知っているか? 2.6.30の変更内容を 小崎資広 2009/7/1 今年の「セキュリティ&プログラミングキャンプ」(注1)の講師をすることになってしまい、講義準備とこの原稿の締め切りがバッティングして大忙しの筆者です。皆さま、いかがお過ごしでしょうか。 今月は、6月10日にリリースされた2.6.30を中心に見ていきたいと思います。それではどうぞっ。 注1:http://www.jipdec.or.jp/camp/。この記事が公開されるころには締め切り間近だと思うのですが、これはすごいよ。有料のカンファレンスでも、この面子が一堂に集まるなんてあり得ない講師陣です。Linux以外のコースも注目です。……お盆の時期に時間が取れる学生限定ですが。 ファイルシステム周りの追加 ■日本発のログ構造化ファイルシステム「NILFS」 NILFS(New Implementation of a
連載記事 「Heartbeatでかんたんクラスタリング」
Heartbeatの特徴とユニークな機能 連載:Heartbeatでかんたんクラスタリング(1) オープンソースソフトウェアの「Heartbeat」をご存じでしょうか? これを使い、Linux上でHAクラスタを構成する方法を紹介します
GNU系OSSライセンスに関する一考察
表1 OSSライセンスの考え方(繰り返しになりますが、現実にはこの3つに分類できないOSSライセンスもあるでしょう。中には、表面的には同じような要件を備えていても「そんな考え方で作成したライセンスではない」とお怒りになる著作権者(開発者)がいらっしゃるかもしれません。ただ、ここはあくまで入門者向けの説明として、こういう分類を許していただければと思います) 今回は、上記のうち「GNU系ライセンス」の考え方について紹介します。これは表1では「互恵のLicense」とも分類されます。ソースコードの開示を条件に、著作物を受け取った受領者にもまた、第三者に著作物を頒布(譲渡)する権利を与えるというものです。つまり、ソースを受け取ったら、自らもソースを与えるという「互恵の関係」を求めるライセンスです。Copyleft(コピーレフト)とも表現されます。 2種類あるGNU系ライセンス GNU系のOSSライ
ブラウザを選ばずWebテストを自動化するSelenium
Webアプリケーションのファンクションテストを行うツールとして注目されている「Selenium」のバージョン1.0が6月20日にリリースされました。安定性が向上するとともに、Firefox 3.0、3.5(Selenium IDEは1.0.2から、Firefox 3.5に対応)や、Internat Explorer(以下、IE) 8などの最新のWebブラウザにも対応しました。 本稿では、Selenium 1.0をベースとしたSelenium IDEとSelenium RCを利用した効果的なSeleniumの利用方法を紹介します。 Webアプリのテストで誰もがイラつく大きな課題 Webアプリケーションテストを手で行うと、非常に煩雑です。Selenium登場以前の従来のやり方では、次のような問題がありました。 回帰テストに時間がかかる バグ修正や仕様変更などで、Webアプリケーションを変更した
Chapter2 ジェネリック(1/9) - @IT
同書籍は、もともと本フォーラムにて連載していた『C# 2.0入門』、『C# 3.0入門』の記事を整理統合し、加筆、修正されたものです。 手元でまとめて読みたい方は、ぜひ書店などにてお買い求めください。 【注意】本記事は、書籍の内容を改変することなく、そのまま転載したものです。このため用字用語の統一ルールなどは@ITのそれとは一致しません。あらかじめご了承ください。 2.1 ジェネリックとは何か? 前章では、C# 3.0がC# 1.xとはまったく異質な言語であることを示したが、本章で解説する「ジェネリック」(Generic)にはそのような大胆さはない。あくまで、C# 1.xプログラミングを行っているときに日常的に感じる不満を解消するための新機能である。しかし、それでいて、C# 3.0らしいプログラミングを縁の下から支える基礎技術であるので、ないがしろにはできない。まずは、これから手を付けてい
Oracle VM上でRACを利用する(2)(1/3)
Oracle VMとは、オラクルが提供している無償のサーバ仮想化ソフトウェアである。Xenをベースとしているが、さまざまな機能追加や使いやすさの改善が行われている。本連載では、Oracle VMの製品コンセプトから機能、利用シーンまでを解説する 今回は具体的なRAC on VMの構成図に沿って、その構築手順を見ていきたいと思います。 下の図1は、今回構築する2ノードのRAC on VMの構成例です。詳しくは本文の中で解説していきますが、まずはざっくりと全体のシステム構成を把握していただければと思います。 完全に冗長化されたRAC on VM構成には、最低でも以下のハードウェアを揃える必要があります。 ・サーバ× 2台 CPU 特に要件はありませんが、現在のCPU性能/価格を加味すればクアッドコア x 2ソケットくらいが妥当でしょう。 メモリ 特に要件はありませんが、最低でも8Gbyte程度
連載:[完全版]究極のC#プログラミング - @IT
第2回 簡潔なコーディングのために (2017/7/26) ラムダ式で記述できるメンバの増加、throw式、out変数、タプルなど、C# 7には以前よりもコードを簡潔に記述できるような機能が導入されている 第1回 Visual Studio Codeデバッグの基礎知識 (2017/7/21) Node.jsプログラムをデバッグしながら、Visual Studio Codeに統合されているデバッグ機能の基本の「キ」をマスターしよう 第1回 明瞭なコーディングのために (2017/7/19) C# 7で追加された新機能の中から、「数値リテラル構文の改善」と「ローカル関数」を紹介する。これらは分かりやすいコードを記述するのに使える Presentation Translator (2017/7/18) Presentation TranslatorはPowerPoint用のアドイン。プレゼンテー
Chapter1 C# 3.0らしいプログラミングとは?(1/10) - @IT
同書籍は、もともと本フォーラムにて連載していた『C# 2.0入門』、『C# 3.0入門』の記事を整理統合し、加筆、修正されたものです。 手元でまとめて読みたい方は、ぜひ書店などにてお買い求めください。 【注意】本記事は、書籍の内容を改変することなく、そのまま転載したものです。このため用字用語の統一ルールなどは@ITのそれとは一致しません。あらかじめご了承ください。 はじめに 冒頭からあえて断言しよう。 オブジェクト指向プログラミングに関する書籍やネットの情報の9割は間違いである。正確にいえば、根拠のないあやふやな思い込みが事実として書かれている。いわゆる“トンデモ”である。 トンデモの最も典型的な特徴は、「クラス」によってプログラムのすべてを表現し、現実に存在する「もの」と「オブジェクト」を対応付けることですべてうまくいくという主張だろう。 しかし、そのような主張がされてから軽く十年以上た
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
